人應該是任何網絡安全戰(zhàn)略的核心。

　　良好的安全性考慮到人們在實踐中的工作方式，并且不會妨礙人們完成工作。人們也可以成為預防事件（或檢測何時發(fā)生）的最有效資源之一，前提是他們參與得當，并且有一種鼓勵他們暢所欲言的積極網絡安全文化。支持員工獲得安全工作所需的技能和知識通常是通過意識或培訓的方式來完成的。這不僅有助于保護組織，還表明重視員工，并認識到他們對業(yè)務的重要性。

　　有什么好處？

　　增加對組織的信任和忠誠度

　　更早地發(fā)現那些通常不被技術發(fā)現的事件

　　一個讓個人感到安全（并被鼓勵提早提出問題和提出新想法）的環(huán)境將使組織更有效

　　該怎么辦？

　　鼓勵高層領導以身作則

　　鼓勵高層領導在網絡安全方面定下基調。如果高層領導無視安全政策和流程，或以某種方式要求“特殊待遇”（例如要求使用與標準發(fā)布的設備不同的設備），則會向組織中的其他所有人發(fā)出信號，即高層不考慮規(guī)則適合目的，并且員工嘗試繞過政策是可以接受的。

　　與員工建立有效的對話

　　與員工交談，了解他們的日常工作涉及的內容，并嘗試了解他們的觀點、工作流程和壓力，以了解執(zhí)行某些活動可能存在哪些障礙。只有了解和理解可能阻止人們遵循安全程序和實踐的因素，才能消除障礙。從這些知識中學習以幫助改進系統(tǒng)并確保人們能夠有效地完成他們的工作。

　　確保了解當地工作環(huán)境的人員參與安全政策制定。確保政策和流程符合目的且相稱，并為人們提供途徑來挑戰(zhàn)在實踐中對他們不起作用的流程。眾所周知，那些讓人們對挑戰(zhàn)工作方式感到安全的組織更具創(chuàng)新性，并且能夠更好地應對意外情況。

　　建立可以在組織內報告問題的流程，并確保人們知道這些流程是什么，并鼓勵人們報告問題。通過傾聽報告的問題，以公平的方式積極回應，然后讓員工參與糾正問題的過程，在組織內建立信任。許多事件只能被人們發(fā)現，如果他們覺得自己信任組織，那么他們更有可能在懷疑出現問題時進行報告。及早發(fā)現事件對于限制影響至關重要。

　　不要對錯誤進行污名化，防止個人或團隊被挑出來責備；這將使人們在未來不那么不愿意報告事件。任何安全事件都應被視為個人和組織自我提升的機會。

　　考慮開展安全意識活動

　　承認宣傳活動的有效性可能需要時間。在分析任何意識工作的影響之前，留出足夠的時間。

　　確保信息與員工相關并適合組織。傳達不相關、無法實現或對他們的工作方式產生負面影響的信息不會產生預期的結果，并且可能會產生負面影響，因為它表明對員工的需求缺乏了解。如果人們不得不為安全流程和控制找到變通辦法來完成他們的工作，那么他們可能已經知道他們正在違反規(guī)則，如果不解決根本問題，更多的意識將無濟于事。

　　關注關于員工可以做什么來提供幫助的積極信息，而不僅僅是他們做他們不應該做的事情的后果。使用恐懼或專注于威脅來激勵員工行為并不能很好地發(fā)揮作用，實際上它會產生相反的效果，讓人們感到不參與。

　　了解意識只是第一步。僅僅因為讓人們意識到風險以及如何應對，并不意味著他們會執(zhí)行這些行為，或者能夠執(zhí)行這些行為。這可能需要更多的工作來了解任何技術或文化障礙，并可能需要開發(fā)適用于組織的替代解決方案。

　　確保高層領導參與宣傳活動。如果很明顯他們沒有遵循信息（通過他們的行動或其他方式），那么這將很快破壞活動的有效性。

　　量身定制網絡安全培訓以滿足組織需求

　　在開發(fā)或采購任何培訓解決方案之前，了解并優(yōu)先考慮組織中個人所需的網絡安全知識和行為。如果正在考慮購買“現成的”培訓，請確保它滿足組織要求，并且與組織的技術安全控制措施配合良好。

　　向員工強調培訓的好處，明確培訓將如何不僅對他們有幫助，而且對整個組織也有幫助。這將有助于向員工表明他們受到組織的重視，從而建立忠誠感。關心他們工作的組織的員工更有可能希望幫助其實現目標，從安全角度來看，這可能會成為現實，例如，員工想要報告他們?yōu)榱斯ぷ鞫仨毑扇〉谋匾踩胧┩戤叀?/p>

　　以小的、頻繁的塊提供培訓。一致的小信息比一年一次的一小時會議更容易消化和更有效。聽取員工提供的關于近期培訓計劃的反饋，并利用這些信息來調整未來的計劃。

　　避免重復，年復一年使用相同的培訓視頻會導致員工認為培訓沒有得到重視。如果員工認為前輩沒有考慮到培訓，那么參與的人就不會得到充分的投入。

　　確保培訓師對該主題有足夠的了解，并能將其與學員的日常工作聯(lián)系起來。如果學員認為他們比培訓師了解的更多（或認為他們脫節(jié)），他們會質疑培訓的重要性以及為什么他們不能找到更合適的人來做這件事。考慮請高級管理層支持培訓。